พบการโจมตี SalmonSlalom รูปแบบใหม่ที่มุ่งเป้าไปที่องค์กรอุตสาหกรรม

ผู้โจมตีใช้บริการระบบคลาวด์คอมพิวติ้งที่ถูกต้องตามกฎหมายเพื่อจัดการมัลแวร์และปรับใช้ขั้นตอนการโจมตีที่ซับซ้อนและหลายขั้นตอนเพื่อหลีกเลี่ยงระบบตรวจจับการบุกรุก ด้วยวิธีนี้ผู้ร้ายสามารถแพร่กระจายมัลแวร์บนระบบเครือข่ายของเหยื่อ ติดตั้งเครื่องมือควบคุมระยะไกล เข้าควบคุมอุปกรณ์ ขโมยและลบข้อมูลที่เป็นความลับ

Kaspersky ICS CERT phát hiện tấn công SalmonSlalom nhắm vào tổ chức công nghiệp APAC - Ảnh 1. — Kaspersky ตรวจพบการโจมตี SalmonSlalom รูปแบบใหม่ที่มุ่งเป้าไปที่องค์กรอุตสาหกรรมในภูมิภาคเอเชียแปซิฟิก

แคมเปญนี้มุ่งเป้าไปที่หน่วยงานภาครัฐและองค์กรอุตสาหกรรมหนักในหลายประเทศและดินแดนในภูมิภาคเอเชียแปซิฟิก (APAC) รวมถึงไต้หวัน มาเลเซีย จีน ญี่ปุ่น ไทย ฮ่องกง เกาหลีใต้ สิงคโปร์ ฟิลิปปินส์ และเวียดนาม แฮกเกอร์ใช้ไฟล์บีบอัดที่มีโค้ดที่เป็นอันตราย ซึ่งปลอมตัวเป็นเอกสารที่เกี่ยวข้องกับภาษี และแพร่กระจายผ่านแคมเปญฟิชชิ่งในอีเมลและแอปส่งข้อความเช่น WeChat และ Telegram หลังจากกระบวนการติดตั้งมัลแวร์หลายชั้นที่ซับซ้อนบนระบบแล้ว ผู้ก่ออาชญากรรมทางไซเบอร์จะดำเนินการติดตั้งแบ็กดอร์ที่เรียกว่า FatalRAT

แม้ว่าแคมเปญนี้จะมีความคล้ายคลึงกับการโจมตีครั้งก่อนๆ ที่ใช้มัลแวร์การเข้าถึงระยะไกลโอเพนซอร์ส (RAT) เช่น Gh0st RAT, SimayRAT, Zegost และ FatalRAT ผู้เชี่ยวชาญพบว่ามีการเปลี่ยนแปลงอย่างมีนัยสำคัญในกลยุทธ์ เทคนิค และวิธีการดำเนินการ ซึ่งทั้งหมดได้รับการปรับแต่งให้เหมาะกับองค์กรและหน่วยงานที่พูดภาษาจีนที่เป็นเป้าหมาย

การโจมตีดังกล่าวดำเนินการผ่านเครือข่ายการจัดส่งเนื้อหา (CDN) myqcloud และบริการโฮสติ้ง Youdao Cloud Notes ซึ่งเป็นแพลตฟอร์มคลาวด์คอมพิวติ้งของจีนที่ถูกกฎหมาย 2 แห่ง เพื่อหลีกเลี่ยงการตรวจจับและการป้องกัน แฮกเกอร์ได้ใช้เทคนิคต่างๆ มากมาย เช่น การเปลี่ยนเซิร์ฟเวอร์ควบคุมและเพย์โหลดของมัลแวร์อย่างต่อเนื่องเพื่อลดความเสี่ยงที่จะถูกติดตาม การจัดเก็บมัลแวร์ในเว็บไซต์ที่ถูกกฎหมายเพื่อ "ข้าม" ระบบความปลอดภัย การแสวงประโยชน์จากช่องโหว่ของซอฟต์แวร์ที่ถูกกฎหมายในการโจมตี การใช้ประโยชน์จากฟังก์ชันที่ถูกกฎหมายของซอฟต์แวร์เพื่อเปิดใช้งานมัลแวร์ การเข้ารหัสไฟล์และปริมาณการใช้งานเครือข่ายเพื่อซ่อนกิจกรรมที่ผิดปกติ

Kaspersky ตั้งชื่อแคมเปญว่า SalmonSlalom เพื่ออธิบายว่าอาชญากรไซเบอร์หลบเลี่ยงการป้องกันเครือข่ายอย่างชำนาญด้วยกลวิธีที่ซับซ้อนและวิธีการที่เปลี่ยนแปลงอยู่ตลอดเวลา ซึ่งคล้ายคลึงกับปลาแซลมอนที่ว่ายผ่านการเดินทางอันรวดเร็วและยากลำบากที่ต้องใช้ความอดทนและความเฉลียวฉลาดเพื่อเอาชนะอุปสรรค

“อาชญากรทางไซเบอร์ใช้เทคนิคที่ค่อนข้างเรียบง่ายเพื่อบรรลุเป้าหมาย แม้แต่ในสภาพแวดล้อมเทคโนโลยีการปฏิบัติการ (OT)” Evgeny Goncharov หัวหน้า Kaspersky ICS CERT กล่าว “แคมเปญนี้เป็นการเตือนองค์กรอุตสาหกรรมหนักในภูมิภาคเอเชียแปซิฟิกว่าผู้ไม่ประสงค์ดีสามารถเจาะระบบ OT จากระยะไกลได้ องค์กรต่างๆ จำเป็นต้องสร้างความตระหนักรู้เกี่ยวกับภัยคุกคามเหล่านี้ เสริมสร้างการป้องกัน และตอบสนองเชิงรุกเพื่อปกป้องทรัพย์สินและข้อมูลจากการโจมตีทางไซเบอร์”

ที่มา: https://thanhnien.vn/phat-hien-cuoc-tan-cong-moi-salmonslalom-nham-vao-cac-to-chuc-cong-nghiep-185250320140416728.htm